問題
Matomo (DXP 7.4)またはPiwiki (DXP 7.0-7.3)のフィールドにJavascriptのコードを置くことができます。
- サイトの設定 -> サイトの設定 -> Analyticsにアクセスする。
- MatomoまたはPiwikのフィールドの下に、以下のようなものを貼り付ける:
"><img src=x onerror=alert(origin)>
3. 保存をクリック
それ以降、ページにアクセスするたびにポップアップが表示されるようになる。
Environment
DXP 7.0+
解決策
Matomoのような解析サービスが動作するためには、Javascriptを許可する必要があるからだ。
Matomoが不要な場合は、以下の方法で無効にできる:
- コントロールパネル」-「インスタンス設定」-「プラットフォーム」-「アナリティクス」に移動する。
- リストからマトモを削除し、保存する
現在、Matomoフィールドはサイト設定のオプションではなくなりました。
追加情報
フラグメントの中にスクリプトがあることは、潜在的なXSS脆弱性として認められるのか?
ボタンの断片の中にスクリプトがあることは、潜在的なXSS脆弱性として認められるのでしょうか?